Наличие Интернета и развитие цифровых технологий сегодня динамично изменяют привычные сферы человеческой жизни, трансформируя экономику, делая её цифровой. Масштаб изменений и его инновационная значимость существенны настолько, что в Европейском союзе полагают, что национальные государства не справляются с проблемами происходящих трансформаций в силу ограниченности собственных возможностей. Необходима скоординированная политика и общие правовые рамки. Данные аргументы и легли в основу создания Стратегии Единого цифрового рынка Европейского союза (Digital Single Market), которая была представлена в Сообщении Европейской комиссией в 2015 г.
Цель данной статьи - кратко проследить эволюцию изменений, предпринятых в законодательстве ЕС, характеризующих быстро развивающуюся в последние годы совместную деятельность стран-членов Евросоюза в области кибербезопасности.
Согласно статье 3 Договора о Европейском союзе, Союз создает внутренний рынок. Внутренний рынок, по формулировке статьи 26 Договора о функционировании Европейского союза, охватывает пространство без внутренних границ, в котором согласно положениям Договоров обеспечивается свободное передвижение товаров, лиц, услуг и капиталов. В современных условиях только через создание Единого цифрового рынка - общего цифрового пространства - возможно действительно обеспечить свободное перемещение товаров, лиц, услуг и капитала в ЕС, то есть создать тот внутренний рынок, который является целью Европейского союза.
В Сообщении Европейской комиссии сформулировано три основополагающих элемента («опоры»), на которых будет основываться Стратегия Единого цифрового рынка: 1) облегчение доступа потребителей и бизнеса к товарам и услугам посредством использования Интернета в пределах всего ЕС; 2) создание благоприятных условий для развития цифровых сетей и услуг; 3) содействие максимальному повышению потенциала европейской цифровой экономики.
Среди задач, направленных на создание благоприятных условий для развития цифровой экономики, особое место, согласно Стратегии, занимает устранение непоследовательности в регулировании этой сферы на уровне ЕС и гармонизация правовых подходов государств-членов к регулированию отношений в цифровом пространстве. Так вот, it юрист в сфере информационных технологий занимается юридическим сопровождением бизнеса компании, функционирующей в условиях цифровой экономики. Занимается юридическим сопровождением бизнеса компании, функционирующей в условиях цифровой экономики.
Новый тип отношений, который формируется в цифровом пространстве, требует реализации целого ряда мер по повышению доверия среди участников взаимодействия. Государствам-членам ЕС жизненно необходимо укрепление безопасности функционирования цифровой экономики и развитие способности противостоять киберугрозам. Основания для беспокойства по данному поводу в странах ЕС существуют достаточно серьёзные.
Так, например, в различных документах Еврокомиссии утверждается, что с начала 2016 г. в мире происходит более 4 тыс. компьютерных атак (ransomware) в день и масштаб «цифровых угроз» быстро возрастает, давая рост в 300 % по сравнению с данными 2015 г.
Согласно другим данным Комиссии ЕС, только за минувший год киберугрозам в той или иной степени подверглось 80% компаний стран Евросоюза, а экономическое влияние киберпреступности удвоилось в период с 2013 по 2017 г. и способно вырасти вчетверо к 2019 г.;
Согласно опросам Евробарометра, количество граждан стран ЕС, считающих кибер-преступления вызовом всему Евросоюзу увеличивалось, при этом 87% респондентов полагали, что данная угроза имеет внутреннее происхождение. Около 70% опрошенных опасались возможностей оказаться жертвой вредоносных программ, кражи персональных данных, номеров банковских карт, онлайн платежей и т.п. Характерно, что только около половины опрошенных заботились о безопасности своих онлайн-транзакций сами, меняя, например пароли. Одновременно выяснилось, что многие стали избегать покупок онлайн, а каждый десятый респондент и вовсе прекратил их делать. Проблема доверия пользователей к реалиям и условиям развивающегося цифрового рынка, таким образом, очевидна.
Для повышения доверия к цифровой среде необходимо обеспечить защиту персональных данных и защиту объектов критической инфраструктуры. Понятно, что сбой в работе объектов критической инфраструктуры может отразиться на безопасности и благосостоянии не только отдельных государств, но и самого Европейского союза в целом. Серьезные последствия может иметь утрата контроля над персональными данными. Уже в 2011 г. Европол констатировал, что к тому времени фактически уже сформировалась «теневая» цифровая экономика, в которой ключевым товаром являются данные.
В то же время, набирает обороты и другая значимая тенденция. Общество переходит от использования отдельных подключенных к общей сети устройств к Интернету вещей, в котором объекты и люди будут взаимосвязаны через постоянный обмен информацией (данными) о статусе каждого элемента и состоянии окружающей среды. Соответственно, в дальнейшем ценность данных будет увеличиваться, а их уязвимость повышаться. Так, например, в недавнем докладе Европола «Оценки угроз со стороны организованной преступности в Интернете» (The 2017 Internet Organised Crime Threat Assessment (IOCTA)) подчеркивается, что происходит заметное сближение интересов киберпреступности и организованной преступности, опирающихся на возможности теневой цифровой экономики, из чего следует вывод о том, что атаки на персональные данные будут становиться все более изощренными.
Для устранения пробелов в наднациональном регулировании противодействия атакам на объекты критической инфраструктуры в 2016 году была принята Директива о сетевой и информационной безопасности (The Directive on security of network and information systems (NIS Directive)). До мая 2018 года государства-члены должны имплементировать её положения в свои национальные законодательства. В частности, им понадобится принять национальные стратегии кибербезопасности, определяющие стратегические цели, соответствующую политику и меры регулирования этой области. Показательно, что к концу 2017 года 25 государств-членов ЕС либо обновили, либо разработали национальные киберстратегии. Существенно, что Директива предусматривает также создание «Группы сотрудничества» для содействия стратегическому сотрудничеству и обмену информацией между государствами-членами, в том числе путем подготовки руководящих документов для облегчения имплементации и реализации положений Директивы, касающихся операторов услуг жизнеобеспечения (operators of essential services).
Важнейшим координирующим положением Директивы можно считать создание Сети групп реагирования на инциденты компьютерной безопасности (CSIRTs). В сеть должны входить соответствующие подразделения в каждом из государств-членов ЕС. Европейское агентство по сетевой и информационной безопасности (ENISA) намерено активно поддерживать сотрудничество между этими группами.
Помимо обязательств для государств-членов, Директива также устанавливает определенные обязательства в отношении негосударственных участников. Предприятия, имеющие важную роль для общества и экономики, обозначенные в Директиве как «операторы услуг жизнеобеспечения» (к ним относится, в том числе, цифровая инфраструктура) должны обеспечить надлежащий уровень цифровой безопасности предоставляемых ими услуг и уведомлять о серьезных инцидентах соответствующий национальный орган. Эти обязанности возложены и на поставщиков цифровых услуг.
Таким образом, Директива NIS должна стать основой общеевропейского сотрудничества по противодействию серьезным инцидентам в цифровом пространстве и способствовать улучшению условий для развития взаимодействий в цифровой среде.
Другой ключевой задачей для развития цифровых отношений являет защита персональных данных. В 2016 году, в рамках масштабного изменения правового регулирования данной сферы был принят т.н. называемый Общий регламент по защите данных (General Data Protection Regulation (GDPR)), заменяющий Директиву ЕС по защите данных 95/46/EC.[7] Этот Регламент призван защитить права физических лиц в отношении обработки персональных данных всеми компаниями, предлагающими свои услуги на европейском рынке. Таким образом, GDPR распространяется, в том числе, на компании, находящиеся за пределами ЕС, чья деятельность по обработке персональных данных связана с предложением товаров и услуг субъектам данных на территории ЕС. На обработчиков данных возложен целый ряд обязанностей. Регламент устанавливает многоуровневые санкции за нарушения законодательства о защите данных. Общий регламент вступит в силу 25 мая 2018 года.
В 2017 году Европейской комиссией внесен также проект Регламента об уважении частной жизни и защите персональных данных в электронных коммуникациях. Этот регламент должен прийти на смену Директиве 2002/58/EC (ePrivacy Directive). Проект находится на стадии рассмотрения.
Два этих документа должны заложить основы регулирования защиты персональных данных в ЕС. При этом по общему правилу, Регламенты будут иметь прямое действие в государствах-членах ЕС без необходимости имплементации их положений на уровне национального законодательства. Очевидным, таким образом, становится стремление к унификации правового регулирования этой сферы на всей территории Европейского союза. Более того, принимая во внимание трансграничный характер передачи данных, часть положений общего Регламента распространяется на лиц, учреждённых за пределами ЕС. В настоящее время неясно, будут ли ведущие торговые партнеры ЕС адаптировать свое законодательство с учетом этих изменений, но возможно Общий регламент окажет воздействие на общемировой порядок обработки персональных данных.
Для реализации обозначенных в Стратегии построения Единого цифрового рынка задач, связанных с обеспечением кибербезопасности, в 2016 году Европейская комиссия и Европейская организация по кибербезопасности (ECSO) подписали договор о партнерстве по кибербезопасности. Это соглашение нацелено на стимулирование конкурентоспособность и инноваций в области цифровой безопасности в частном секторе. ECSO включает в себя более 200 членов, том числе крупные компании в сфере кибербезопасности, малые и средние предприятия, и стартапы, исследовательские центры, университеты, кластеры и ассоциации. Таким образом, воплощается в жизнь курс на активное взаимодействие с негосударственными участниками отношений в цифровой среде.
Согласно промежуточным итогам реализации Стратегии Единого цифрового рынка отмечено, что характер угроз в последние пять лет значительно изменился, поэтому Стратегию кибербезопасности ЕС 2013 года необходимо пересмотреть. В настоящее время проводится оценка ее эффективности. В 2017 году Европейская комиссия предложила также учредить на основе ENISA новый орган - Агентство по кибербезопасности ЕС, с одновременным созданием общеевропейской сети сертификации продуктов и услуг информационно-коммуникационных технологий. Таким образом, создание системы органов и агентств для противодействия киберугрозам на общеевропейском уровне продолжится.
Вместе с тем Европейская комиссия указывала, что уровень осведомленности и сознательности европейских граждан и компаний о проблемах кибербезопасности остается низким, начиная с базовых основ поиска информации и заканчивая поведением в случае кибер-инцидентов. Как отмечалось, на уровне государства-членов ЕС понадобится вести более активную информационно-образовательную работу.
Таким образом, развитие цифровой экономики является очевидным приоритетом для Европейского союза. Для создания стабильно функционирующего Единого цифрового рынка одним из ключевых условий является обеспечение кибербезопасности. Важнейшими сферам регулирования, которым ЕС уделяет особое внимание, являются защита персональных данных и обеспечение безопасности объектов критической инфраструктуры. Обеспечить реализацию фундаментального права на защиту персональных данных призвана масштабная реформа, направленная на унификацию правового регулирования этой области. В рамках этой реформы будут обновлены ключевые законодательные акты ЕС. Для укрепления безопасности объектов критической инфраструктуры ЕС использует тактику гармонизации, принимая Директивы, устанавливающие минимальные общие стандарты.
Разумеется, уверенно судить о результатах реализации большинства инициатив можно будет только после вступления в силу Регламентов и полной имплементации Директив. Многие положения Директив были сформулированы максимально компромиссно. Следовательно, можно ожидать, что практическое примирение положений европейского законодательства в области сетевой и информационной безопасности окажется государствах-членах ЕС весьма различным. Созданная в Евросоюзе сеть органов и агентств может позволить минимизировать негативные последствия споров, возникающих в силу имеющихся различий, в том числе в технических возможностях.
В ближайшие несколько лет можно ожидать продолжения дискуссий в отношении Регламента об уважении частной жизни и защите персональных данных. Но уже сегодня можно отметить, что ЕС продолжает тенденцию на сближение норм по защите персональных данных, фактически перейдя к унификации правового регулирования в этой сфере. Прямое действие Общего регламента по защите данных должно обеспечить высокий уровень координации всех государств. Неясным пока остается ответ на вопрос о внешней реакции на новое европейское законодательство в сфере защиты персональных данных. Но вполне возможно, что именно подход Европейского союза послужит основой общемировой практики.
КАЦЫ Дмитрий Васильевич
кандидат исторических наук, доцент кафедры истории и регионоведения Санкт-Петербургского государственного университета телекоммуникаций им. профессора М. А. Бонч-Бруевича
ШМАТКОВА Любовь Павловна
магистр юриспруденции, независимый исследователь, выпускница Московского государственного института международных отношений (Университета) МИД России.